メールは普段の業務でも頻繁に利用するツールです。様々なメッセージツールが登場してきていますが、メッセージの履歴が残るという特性と、商習慣として定着していることから今後も利用は続くと考えられます。
一方で、メールはその利用者の多さから以前よりサイバー攻撃にも頻繁に利用されてきました。
セキュリティ上の問題の入り口となってしまうケースも多々あります。
その中でも、サイバー攻撃でよく利用される手法がメールの差出人を偽装する手口です。メールの差出人として著名な企業やよく利用されるサービス、官公庁などをかたり、メールの受信者を信頼させて、Webサイトへ誘導、マルウェアへの感染、情報の詐取などに繋げます。なりすましメールとも呼ばれており、迷惑メールの一種でフィッシングなどでも利用される手口です。
本記事では、メールの差出人の偽装について、事例や統計、見破る方法について解説します。
差出人を偽装したメールによる攻撃を避けるためにご利用ください。
また、従業員へのメール攻撃対策をお考えのご担当者様へ、標的型攻撃メール訓練実施チェックリストを無料で配布しています。効果的な実施に、まずは流れを確認してみてください。
メールの差出人を偽装する方法とは
なりすましメール(英:Email Spoofing)は、メールの差出人を偽装し、マルウェアへの感染や情報の詐取に導くサイバー攻撃の一種です。
メール差出人を偽装する目的
メール差出人を偽装する場合、送信メールに手を加えることにより、メーラー上で別の差出人名や差出人メールアドレスを表示し、受信者の信頼を得てメール本文中のリンクへの誘導や添付ファイルの開封に導きます。特定の悪意あるWebサイトへ誘導しマルウェアへ感染させることや情報詐取用のWebサイトへ誘導し個人の情報を抜き取る事が目的です。
マルウェアに感染する添付ファイルを開封させる手口もあります。マルウェアに感染させた後は、情報の詐取、データの改ざん、破壊、感染端末の増殖などが行われます。
メール差出人を偽装する手口
メール(email)の仕組み上、メール送信時にチェックされるのは送信先のメールアドレスのみです。差出人(送信元)のメールアドレスについては、その正当性に対するチェックが義務付けられているわけではなく、チェックは必須ではありません。これはメールの送受信を行うプロトコル(通信手順)上のルールです。
このメール送受信のプロトコルのスキを突いた攻撃がメールの差出人の偽装です。メールの送信時に何らかの手段でメール内に記載されるメール差出人のアドレスを実際の送信者とは違うアドレスに設定しておくことができてしまいます。
送信元の名称は、メーラー(メールを扱うソフトウェア)により差出人情報の表示を行っています。この際に差出人のアドレスの検証は行われません。このため、メールの差出人が偽装ができてしまうのです。また、メールには返信先フィールドという項目も存在しており、こちらも偽装に利用される場合があります。
しかしながら、IT技術の提供者も無策に過ごしているわけではありません。2014年頃から、セキュリティ対策が行われたプロトコル(SPF)やDKIM、DMARCなどが普及しはじめ、メールサーバーやサービスの多くで、差出人が偽装されたメールはフィルタされるようになりました。
しかし、完全に対策できているわけではなく、現在もメール差出人を偽装したメールが存在しています。
こうした手口をまとめた資料を無料で配布しています。参考にしてみてください!
メール差出人偽装の現在
結論から言えば、現在もメールの差出人を偽装したメールは存在しています。それどころか、メール差出人を偽装したメールはさらに巧妙化しているとも言えます。先に記載したSPFについても、それをかわす方法が利用されています。
メール差出人を偽装したメールの作成においては、なりすまし元の企業のメールやWebサイトから情報を取得し、あたかも本物のように見せかけてきます。HTMLでの装飾などもコピーされており、メールの文面についてもアップデートが行われています。
また、メール差出人を偽装したメールにおいては、社会情勢をも反映しており、世間の流行から様々なメール送信元をかたっています。例えば、コロナ禍においてはWHO、厚生労働省、保健所などをかたったメールが多数見られました。
総務省の2022年のサイバータスクフォースにおける資料「フィッシングの現状 (2021年版)」によると、2021年に報告されたフィッシングメールのおよそ半数が差出人を偽装したなりすましメールでした。報告数は毎月およそ3万件であり、その半数の1万5,000件が差出人を偽装していたといえます。
総務省サイバータスクフォース|フィッシング対策協議会「フィッシングの現状 (2021年版)」
また、関連するフィッシングの発生状況において、近日の状況がフィッシング対策協議会により報告されており、2022年11月に報告されたフィッシング件数は70,204件でした。
2022年の11月まででのピークは7月の107,984件であり、多少の減少傾向はみられるものの、それでも活発に差出人を偽装したメールなどのサイバー攻撃が行われているといえるでしょう。
メールの差出人を偽装した事例
フィッシング対策協議会によるフィッシングについての状況の報告では、2022年11月には70,204件のフィッシングが報告されています。このうち、ある調査用のメールアドレスにおけるフィッシングメールの内、実に89.9%が差出人を偽装したなりすましメールであったことも報告されています。
2022年11月に緊急情報として連絡された事例には、下記があります。
すべてが差出人を偽装したメールかどうかは言及されていませんが、89.9%が差出人を偽装していると考えると、多くが該当するといえるでしょう。
メールの差出人偽装を見破る方法
実はメールの差出人偽装は、メールのソースを読むことで見破ることが可能です。メールの送受信に関する情報(ヘッダ情報)などがメールのタイトルや本文に加えて記載されているのがメールソースです。参照の仕方などはメーラーによって異なるため、ヘルプ等よりご確認ください。
メールソース内の記述における”Return-Path“項目がメールの差出人のアドレスです。しかし、先に記載した通りこの項目は偽装が可能です。ここを見ただけではメールの差出人が正しいかどうかは判別が付きません。
さらに後ろを見ていくとでてくるのが”Authentication-Results“の項目です。この項目には、送信元ドメイン認証と呼ばれる技術によるチェック結果が記載されています。spf、dkim、dmarcの3種の技術が利用されていることが多いです。これらの結果が成功 “pass” ではなく、失敗 “error”、”failed” などになっていれば、メールの差出人アドレスに対するドメイン認証が失敗しており、差出人の偽装が行われている確率が非常に高いです。
※メールのプロバイダーやメールサーバー、設定によって異なることがあります。
毎回メールのソースを見る必要はあるものの、この手順をとることによりメールの差出人偽装を見破ることが可能です。差出人偽装が疑われるメールの場合には、確認を行うことをおすすめします。
まとめ
メールの差出人を示す差出人アドレスは偽装することができ、各種のサイバー攻撃において利用されています。メールの仕組みを逆手に取った手口であり、近年でもフィッシングメールなどでよく見られる手法です。メールソースを読むことにより偽装しているかどうかを確認できるため、疑わしいメールはチェックしましょう。
危険なメールを従業員が開封しないように、標的型攻撃メール訓練の実施をしましょう。
